驱动中枚举和关闭内核句柄

最新推荐文章于 2023-08-09 22:19:46 发布
最新推荐文章于 2023-08-09 22:19:46 发布
阅读量2.2k 收藏
点赞数
分类专栏: 驱动 文章标签: 驱动 内核句柄
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liwen930723/article/details/52662186
版权

WIN64AST的作者之前发布了一些教程,里面有关于关闭内核句柄的介绍,但是他忘了一件事,所以那份代码并不能真正的关闭内核句柄,而且他的代码。。。不敢用在项目里。有人在看雪上问过类似问题,我也回答过,在vista之后,windows会检查内核句柄值得有效性,也就是为什么下面我提供的代码中会有这一行:

*(PULONG64)HandleValue |= (ULONG64)KERNEL_HANDLE_MASK,为什么,自己想。

因为大多数时候我们都是关闭的文件句柄,这份代码就是只提供了关闭文件句柄,你可以自己改改。

 

 

头文件unlockfile.h:

 

#include "ntifs.h"

#pragma pack(8) //让编译器对这个结构作8字节对齐
typedef struct   _FILE_HANDLE_INFO
{
	CHAR	FilePath[264];
	HANDLE	hProcess;
	HANDLE	hHandle;
	PVOID	Object;
	ULONG	HandleCount;
}FILE_HANDLE_INFO, *PFILE_HANDLE_INFO;

typedef struct   _FILE_HANDLE_INFO_LIST
{
	ULONG64 Count;
	FILE_HANDLE_INFO Info[1];
}FILE_HANDLE_INFO_LIST, *PFILE_HANDLE_INFO_LIST;
#pragma pack() //取消8字节对齐,恢复为默认字节对齐

PFILE_HANDLE_INFO_LIST EnumFileHandle();
BOOLEAN ForceCloseHandle(HANDLE hProcess, HANDLE HandleValue);
BOOLEAN ForceCloseHandleByPath(const char* Path);

 

 

 

 

 

 

源文件unlockfile.c:

 

 

#include "unlockfile.h"

typedef struct _HANDLE_INFO{
	UCHAR	ObjectTypeIndex;
	UCHAR	HandleAttributes;
	USHORT	HandleValue;
	ULONG	GrantedAccess;
	ULONG64	Object;
	UCHAR	Name[256];
} HANDLE_INFO, *PHANDLE_INFO;

typedef struct _SYSTEM_HANDLE_TABLE_ENTRY_INFO{
	USHORT	UniqueProcessId;
	USHORT	CreatorBackTraceIndex;
	UCHAR	ObjectTypeIndex;
	UCHAR	HandleAttributes;
	USHORT	HandleValue;
	PVOID	Object;
	ULONG	GrantedAccess;
} SYSTEM_HANDLE_TABLE_ENTRY_INFO, *PSYSTEM_HANDLE_TABLE_ENTRY_INFO;

typedef struct _SYSTEM_HANDLE_INFORMATION {
	ULONG64 NumberOfHandles;
	SYSTEM_HANDLE_TABLE_ENTRY_INFO Handles[1];
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

typedef struct _OBJECT_BASIC_INFORMATION {
	ULONG                   Attributes;
	ACCESS_MASK             DesiredAccess;
	ULONG                   HandleCount;
	ULONG                   ReferenceCount;
	ULONG                   PagedPoolUsage;
	ULONG                   NonPagedPoolUsage;
	ULONG                   Reserved[3];
	ULONG                   NameInformationLength;
	ULONG                   TypeInformationLength;
	ULONG                   SecurityDescriptorLength;
	LARGE_INTEGER           CreationTime;
} OBJECT_BASIC_INFORMATION, *POBJECT_BASIC_INFORMATION;


typedef struct _OBJECT_TYPE_INFORMATION {
	UNICODE_STRING          TypeName;
	ULONG                   TotalNumberOfHandles;
	ULONG                   TotalNumberOfObjects;
	WCHAR                   Unused1[8];
	ULONG                   HighWaterNumberOfHandles;
	ULONG                   HighWaterNumberOfObjects;
	WCHAR                   Unused2[8];
	ACCESS_MASK             InvalidAttributes;
	GENERIC_MAPPING         GenericMapping;
	ACCESS_MASK             ValidAttributes;
	BOOLEAN                 SecurityRequired;
	BOOLEAN                 MaintainHandleCount;
	USHORT                  MaintainTypeList;
	POOL_TYPE               PoolType;
	ULONG                   DefaultPagedPoolCharge;
	ULONG                   DefaultNonPagedPoolCharge;
} OBJECT_TYPE_INFORMATION, *POBJECT_TYPE_INFORMATION;

typedef struct _OBJECT_HANDLE_FLAG_INFORMATION{
	BOOLEAN Inherit;
	BOOLEAN ProtectFromClose;
}OBJECT_HANDLE_FLAG_INFORMATION, *POBJECT_HANDLE_FLAG_INFORMATION;


NTKERNELAPI
NTSTATUS
ObSetHandleAttributes(HANDLE Handle, POBJECT_HANDLE_FLAG_INFORMATION HandleFlags, KPROCESSOR_MODE PreviousMode);

NTSYSAPI
NTSTATUS 
NTAPI ZwQuerySystemInformation(ULONG SystemInformationClass,PVOID SystemInformation,ULONG	SystemInformationLength,PULONG ReturnLength);


BOOLEAN QueryFileHandle(PFILE_HANDLE_INFO FileHandleInfo)
{
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	ULONG i = 0, RetLength = 0;
	CLIENT_ID cid;
	OBJECT_ATTRIBUTES oa;
	HANDLE hProcess = NULL;
	HANDLE hDupObj = NULL;
	OBJECT_BASIC_INFORMATION BasicInfo;
	POBJECT_NAME_INFORMATION pNameInfo = NULL;
	ANSI_STRING AnsiString;
	BOOLEAN Result = FALSE;

	if (!FileHandleInfo)
		return FALSE;

	__try
	{
		cid.UniqueProcess = FileHandleInfo->hProcess;
		cid.UniqueThread = (HANDLE)0;

		do
		{
			InitializeObjectAttributes(&oa, NULL, 0, NULL, NULL);
			status = ZwOpenProcess(&hProcess, PROCESS_DUP_HANDLE, &oa, &cid);
			if (!NT_SUCCESS(status))
				break;

			status = ZwDuplicateObject(hProcess, FileHandleInfo->hHandle, NtCurrentProcess(), &hDupObj, PROCESS_ALL_ACCESS, 0, DUPLICATE_SAME_ACCESS);
			if (!NT_SUCCESS(status))
				break;

			status = ZwQueryObject(hDupObj, ObjectBasicInformation, &BasicInfo, sizeof(OBJECT_BASIC_INFORMATION), 0);
			if (!NT_SUCCESS(status))
				break;

			FileHandleInfo->HandleCount = BasicInfo.HandleCount;

			pNameInfo = (POBJECT_NAME_INFORMATION)ExAllocatePool(PagedPool, 1024);
			if (NULL == pNameInfo)
				break;

			RtlZeroMemory(pNameInfo, 1024);
			status = ZwQueryObject(hDupObj, 1/*ObjectNameInformation*/, pNameInfo, 1024, &RetLength);
			if (!NT_SUCCESS(status))
				break;

			status = RtlUnicodeStringToAnsiString(&AnsiString, &pNameInfo->Name, TRUE);
			if (!NT_SUCCESS(status))
				break;

			RtlCopyMemory(FileHandleInfo->FilePath, AnsiString.Buffer, AnsiString.Length);
			FileHandleInfo->FilePath[AnsiString.Length] = '\0';
			RtlFreeAnsiString(&AnsiString);
			Result = TRUE;

		} while (FALSE);

		if (NULL != pNameInfo)
		{
			ExFreePool(pNameInfo);
			pNameInfo = NULL;
		}

		if (NULL != hDupObj)
		{
			ZwClose(hDupObj);
			hDupObj = NULL;
		}

		if (NULL != hProcess)
		{
			ZwClose(hProcess);
			hProcess = NULL;
		}

	}

	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		return FALSE;
	}
	return Result;
}

//对外接口 枚举文件句柄接口 需要调用者自己释放内存
//FileHandleList =EnumFileHandle(); ExFreePool(FileHandleList);
PFILE_HANDLE_INFO_LIST EnumFileHandle()
{
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	PVOID Buffer = NULL;
	ULONG NeededSize = 0, i = 0, j = 0; 
	ULONG64 HandleCount = 0, FileHandleCount = 0;
	PSYSTEM_HANDLE_TABLE_ENTRY_INFO pHandleTable = NULL;
	PFILE_HANDLE_INFO_LIST InfoList =NULL;

	__try
	{
		NeededSize = 0x20000;
		Buffer = ExAllocatePool(NonPagedPool, NeededSize);
		if (NULL == Buffer)
			return NULL;

		RtlZeroMemory(Buffer, NeededSize);
		status = ZwQuerySystemInformation(16, Buffer, NeededSize, 0);	//SystemHandleInformation
		while (status == 0xC0000004)	//STATUS_INFO_LENGTH_MISMATCH
		{
			ExFreePool(Buffer);
			NeededSize = NeededSize * 2;
			Buffer = ExAllocatePool(NonPagedPool, NeededSize);
			if (NULL == Buffer)
				break;

			RtlZeroMemory(Buffer, NeededSize);
			status = ZwQuerySystemInformation(16, Buffer, NeededSize, 0);
			if (NeededSize > 100 * 1024 * 1024)
				break;
		}

		if (!NT_SUCCESS(status))
		{
			ExFreePool(Buffer);
			return NULL;
		}

		HandleCount = ((SYSTEM_HANDLE_INFORMATION *)Buffer)->NumberOfHandles;
		pHandleTable = (SYSTEM_HANDLE_TABLE_ENTRY_INFO *)((SYSTEM_HANDLE_INFORMATION *)Buffer)->Handles;
		for (i = 0; i < HandleCount; i++)
		{
			if (pHandleTable[i].ObjectTypeIndex == 28)//FILE TYPE (XP Win7x86 Win7x64)
				FileHandleCount++;
		}

		//分配内存
		InfoList = ExAllocatePool(NonPagedPool, sizeof(FILE_HANDLE_INFO_LIST)+ FileHandleCount * sizeof(FILE_HANDLE_INFO));
		InfoList->Count = FileHandleCount;

		for (i = 0; i < HandleCount; i++)
		{
			if (pHandleTable[i].ObjectTypeIndex == 28)
			{
				InfoList->Info[j].hProcess = (HANDLE)pHandleTable[i].UniqueProcessId;
				InfoList->Info[j].hHandle = (HANDLE)pHandleTable[i].HandleValue;
				InfoList->Info[j].Object = (HANDLE)pHandleTable[i].Object;
				QueryFileHandle(&InfoList->Info[j]);//查询更多的句柄信息
				j++;
			}
		}
		
	}

	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KdPrint(("EXCEPTION_EXECUTE_HANDLER\n"));
	}

	if (NULL != Buffer)
	{
		ExFreePool(Buffer);
	}

	return InfoList;
}


//对外接口 关闭文件句柄
BOOLEAN ForceCloseHandle(HANDLE hProcess, HANDLE HandleValue)
{
	KAPC_STATE KapcState;
	OBJECT_HANDLE_FLAG_INFORMATION ObjectHandleFlagInfo;
	NTSTATUS Status;
	PEPROCESS pEprocess = NULL;
	ULONG64 Value = (ULONG64)HandleValue;

	__try
	{		
		Status = PsLookupProcessByProcessId(hProcess, &pEprocess);
		if (!NT_SUCCESS(Status))
			return FALSE;

		if (pEprocess == NULL || !MmIsAddressValid(pEprocess))
			return FALSE;

		KeStackAttachProcess(pEprocess, &KapcState);
		ObDereferenceObject(pEprocess);

#define KERNEL_HANDLE_MASK ((ULONG_PTR)((LONG)0x80000000))//关闭内核句柄
		if (PsGetCurrentProcess() == PsInitialSystemProcess)
		{
			Value |= (ULONG64)KERNEL_HANDLE_MASK;
			HandleValue = (HANDLE)Value;
		}

		ObjectHandleFlagInfo.Inherit = 0;
		ObjectHandleFlagInfo.ProtectFromClose = 0;
		Status = ObSetHandleAttributes(HandleValue, &ObjectHandleFlagInfo, KernelMode);
		if (!NT_SUCCESS(Status))
		{
			KdPrint(("ObSetHandleAttributes failed 0x%x\n", Status));
		}
		KeUnstackDetachProcess(&KapcState);

		Status = ZwClose(HandleValue);	
		if (!NT_SUCCESS(Status))
		{
			KdPrint(("ZwClose failed 0x%x\n", Status));
			return FALSE;
		}
	}

	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KdPrint(("EXCEPTION_EXECUTE_HANDLER\n"));
		return FALSE;
	}
	return TRUE;
}


//对外接口 按指定路径关闭文件句柄
BOOLEAN ForceCloseHandleByPath(const PCHAR Path)
{
	ULONG i = 0;
	CHAR* FilePath = NULL;
	BOOLEAN Result = FALSE;

	PFILE_HANDLE_INFO_LIST FileHandleList = EnumFileHandle();
	if (FileHandleList == NULL)
		return FALSE;

	for (i = 0; i < FileHandleList->Count; i++)
	{
		FilePath = FileHandleList->Info[i].FilePath;
		if (RtlCompareMemory(FilePath, Path, strlen(FilePath)) == strlen(FilePath))
		{
			Result = ForceCloseHandle(FileHandleList->Info[i].hProcess, FileHandleList->Info[i].hHandle);
			KdPrint(("ForceCloseHandle:%s\n", Path));
		}
	}
	ExFreePool(FileHandleList);
	return Result;
}

 

 

 

 

 

 

 

本博客旨在提供高稳定性和良好风格的代码。

西伯利亚的寒流
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
易语言枚举内核驱动
08-21
易语言枚举内核驱动源码系统结构:驱动操作_枚举内核驱动,进制转换_Unicode转Ansi,lblexit,InitializeObjectAttributes,进制转换_Ansi转Unicode,内存读写_读字节集内存,lms520_ZwOpenDirectoryObject,lms520_Loc
驱动开发:内核RIP劫持实现DLL注入
CSDN
06-16 7179
本章将探索内核级DLL模块注入实现原理,DLL模块注入在应用层通常会使用`CreateRemoteThread`直接开启远程线程执行即可,驱动级别的注入有多种实现原理,而其最简单的一种实现方式则是通过劫持EIP的方式实现,其实现原理可总结为,挂起目标进程,停止目标进程EIP的变换,在目标进程开启空间,并把相关的指令机器码和数据拷贝到里面去,然后直接修改目标进程EIP使其强行跳转到我们拷贝进去的相关机器码位置,执行相关代码后,然后再次跳转回来执行原始指令集。
云研发 IDE Uncode:演示版发布(欢迎加入开发)
Phodal's zenthink
05-05 1734
花仲马,五一在加班,我便只得找点事情做。还记得 Uncode 吗?用于落地我构思的整个云研发体系的 IDE,如果不记得的话,请访问『流程即代码:低代码 & 云研发 IDE —— U...
ring0解锁文件
LYSM
06-23 512
背景 当我们要删除一个文件的的时候,有时候会出现“文件被占用”或是“无法删除”的提示框,这往往是由于该文件句柄已经在其它进程打开未关闭的缘故。 本文要介绍的是关闭在其它进程的文件句柄,对文件进行解锁。现在,我把实现过程和原理,整理成文档,分享给大家。 实现原理 要实现对指定文件进行解锁,我们首先要做的就是获取这个文件所有被打开的文件句柄,然后在关闭这些句柄即可。那么接下来,我就对指定文件句柄的遍历以及结束文件句柄的实现原理分别进行解析。 遍历指定文件句柄 首先,我们使用 16 号功能调用 ZwQuery
文件,注册表过滤--Sfilter、Minifilter
05-16 1464
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如有错漏,欢迎留言交流指正 文件,注册表过滤 分层驱动框架 NT驱动框架:单层驱动,只能接受自己进程的IRP Sifileter驱动框架:多层驱动,接受所有进程的IRP 过滤:分层驱动再加一层而不影响它的上下层,以过滤它们之间的数据,对数据或行为进行安全控制。过滤是通过设备绑定实现的(有多少个文件卷设备就生成多少个文件过滤驱动设备对象一一绑定,这样,发给各个卷设备对象的IRP都会被监控到)。 磁盘过滤驱动:用于文件还原 绑定与..
枚举进程内核句柄
Debug Hacker
12-01 1689
最近由于有一点点的时间,写了一个小工具,主要目的是总结前段时间对内核句柄的一些学习,功能很简单,类似于Process Explorer查看进程句柄的方法,在win7 x64上测试通过,效果如下图: 注意有些路径为空是因为x64下32位程序对64位程序用GetModuleFileNameEx获取进程的全路径是无法获取的,这个问题如果有好的解决方案欢迎推荐,自己太菜了... 代码上传到了C
windows 驱动实现进程枚举
全栈胖叔叔
05-08 922
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
C语言驱动开发之内核解锁与强删文件
最新发布
shiwei0813的博客
08-09 212
Windows系统断请求(IRQ)可分为两种,一种外部断(硬件断),一种是软件断(INT3),微软将断的概念进行了扩展,提出了断请求级别(IRQL)的概念,其就规定了32个断请求级别。其27-31为硬断,顺序由小到大分别是:PROFILE_LEVEL,CLOCK1_LEVEL,CLOCK2_LEVEL,IPI_LEVEL,POWER_LEVEL,HIGH_LEVEL。,该函数例程用于创建一个句柄,该句柄是指定源句柄的副本,此函数的具体声明部分如下;
Win64 驱动内核编程-30.枚举与删除线程回调
天使也掉毛
04-04 4476
枚举与删除线程回调 进程回调可以监视进程的创建和退出,这个在前面的章节已经总结过了。某些游戏保护的驱动喜欢用这个函数来监视有没有黑名单的程序运行,如果运行则阻止运行或者把游戏退出。而线程回调则通常用来监控远程线程的建立,如果发现有远程线程注入到了游戏进程里,则马上把游戏退出。现在来详细讲解如何绕过这个两个监控。 我们注册的进程回调,会存储在一个名为PspCreateProc...
驱动开发:内核枚举PspCidTable句柄
CSDN
10-16 6705
在上一篇文章我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核存在的定时器列表,本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念;windowsPspCidTable 就是这样的一种表(内核句柄表),表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象,并通过进程PID和线程TID进行索引,ID号以4递增,内核句柄表不属于任何进程,也不连接在系统的句柄表上,通过它可以返回系统的任何对象。
易语言源码易语言枚举内核驱动源码.rar
03-31
易语言源码易语言枚举内核驱动源码.rar
驱动开发教程
05-07
|-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3...
Windows驱动开发基础视频教程.txt
12-20
【适合小白入门】深入掌握Windows操作系统原理,提升程序开发水平,为学习驱动开发,内核安全打下基础。学完本课程可以轻松的理解Windows内核,开阔思路,对没有底层开发基础的人起到有非常好的指导作用。在此基础上...
WIN64驱动编程基础教程
12-06
|-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3...
驱动解析pe文件之pdb
liwen930723的专栏
09-25 2578
驱动解析pe文件的pdb,一切尽在代码,本博客不负责科普,能立即用的代码你都有了,头文件、结构体、注释都整理好你还想要啥? CreateMapFileAndGetBaseAddr()的定义就看我下一篇文章。     #include &lt;ntifs.h&gt; #include &lt;windef.h&gt; #include "ntimage.h" #define NB10...
驱动检查应用层地址有效
liwen930723的专栏
09-25 1903
之前有个驱动,其有个功能要用到解析pe结构,传入个imagebase基地址然后解析这个pe文件结构返回信息。后来一个同事维护了一段时间,他辞职之后,测试的告诉我功能失效了,我就把代码拿过来看了看,原来这家伙误用了一个函数MmIsAddressValid,他在解析PE结构的时候,用了一个函数MmIsAddressValid,我看他的意思是想判断一个地址是否有效就用,这个函数名字看起来好像是这个意思...
修改pe入口方式拦截驱动加载
liwen930723的专栏
10-28 1622
修改pe入口方式拦截驱动加载,驱动加载起来了,但是立即退出。
驱动内存映射文件
liwen930723的专栏
09-25 1217
驱动内存映射文件,一切尽在代码,各位老爷请看:       // 内存映射文件,返回基址 // 用完记得ZwUnmapViewOfSection(ZwCurrentProcess(), BaseAddress); PVOID CreateMapFileAndGetBaseAddr(PUNICODE_STRING FilePath, PSIZE_T Size) { #define SE...
Python 关闭进程的每个句柄
02-12
在 Python ,可以使用 `psutil` 库来关闭进程的每个句柄。 首先,需要安装 `psutil` 库: ``` pip install psutil ``` 然后,可以使用下面的代码关闭当前进程的所有句柄: ```python import psutil import...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值